Bonjour à tous,
 
Je recherche avec désespoir un exemple de script pour la suppression des comptes désactivés du domaine et qui sont toujours présent dans des groupes de sécurités.
Après désactivation volontaire des comptes users, ils restent toujours dans leur groupe de sécurités respectifs le but est de supprimer les users désactivé de l’ensemble des groupes de sécu du domaine.
je suis sur un serveur windows 2012 contrôleur de domaine, active directory
 
Si vous avez des idées je suis preneur
Merci d'avance.

Pourquoi tu veux supprimer les comptes désactivés des groupes ?
 
Soit tu supprimes simplement les comptes, soit tu les désactives et tu les laisses pour qu'ils retrouvent leurs droits au moment de les réactiver.
 
Sinon c'est une usine à gaz...

le DSI souhaite que l'on garde les users désactivés dans une OU spécifique, c'est pour ça. sinon effectivement une suppression  aurait réglé le problème avec une actualisation de l'AD.
si quelqu'un à l'info pour le script ça m'arrange grave  

Si tu ne sais pas encore faire, c'est le moment d'apprendre le Powershell et de faire un petit script à ta sauce.
Les commandes Get-ADUser, Get-ADGroupMember et Remove-ADGroupMember seront certainement tes amies.

C'est surtout une très mauvaise idée, supprimer directement les comptes va te créer des SID orphelins partout.
 
Il faut commencer par les détacher des groupes avant de les supprimer.

Des SID orphelins partout où ?

Dans les groupes si les comptes sont toujours membres de ceux-ci.

Ben non. Les groupes se vident d’eux-mêmes. Le seul cas où des traces pourraient rester, c’est si les comptes sont mis dans des groupes d’un autre domaine (par approbation de domaine).

+1
idem si les comptes de l'AD sont mis aussi en local sur des machines.
ça c'est pas nettoyé quand le compte est supprimé.

Autant pour moi, je pensais ACL dans ma tête en écrivant  

Merci pour vos réponses!
un petit script que je viens de récupérer le fait très bien.
 
Merci encore!

Les systèmes d’exploitation Windows Server sont installés avec des comptes locaux par défaut. De plus, vous pouvez créer des comptes d’utilisateurs qui répondent aux exigences de votre organisation.
 
 
Les comptes locaux par défaut sont des comptes prédéfinis créés automatiquement lors de l’installation d’un contrôleur de domaine Windows Server et de la création du domaine. Ces comptes locaux par défaut possèdent des équivalents dans Active Directory. Ces comptes disposent également d’un accès à l’échelle du domaine et sont totalement séparés des comptes d’utilisateurs locaux par défaut d’un serveur membre ou d’un serveur autonome.
 
Vous pouvez attribuer des droits et des autorisations aux comptes locaux par défaut sur un contrôleur de domaine particulier, et seulement sur ce contrôleur de domaine. Ces comptes sont locaux pour le domaine. Une fois les comptes locaux par défaut installés, ils sont stockés dans le conteneur utilisateurs des utilisateurs et ordinateurs Active Directory. Il est recommandé de conserver les comptes locaux par défaut dans le conteneur utilisateur et de ne pas tenter de déplacer ces comptes, par exemple vers une autre unité d’organisation (UO).

Un up de 3 mois pour sortir autant de bêtises...